プロキシ利用環境での Windows 10 デスクトップ デバイスの管理

概要

お客様の環境の多くは、社内ネットワークにプロキシを構成しています。ネットワーク上のデバイスはリソースに直接アクセスすることができず、社内の各種リソースやインターネットにアクセスするためにはプロキシを経由することが強制されます。プロキシを使用することでトラフィックを監視し、デバイスが安全でない URL に接続するのを禁止したり、デバイス上の機密情報がネットワーク外に漏出するのをブロックしたりできます。デバイス上でのプロキシ構成には、次の 3 つの種類がありえます。

  • サーバとポートを指定した静的な構成
  • PAC URL ベースの構成 (社内ネットワーク上でホストされている自動構成スクリプト)
  • DHCP ベースの構成 (ネットワーク上のプロキシを自動検出)

この記事では、プロキシを利用している環境での Windows 10 デバイス管理の課題と、それを解消するために考案された解決方法について説明します。

 

現象

Windows 10 の MDM は、インターネットに直接接続しているデバイス、つまり MDM サーバに直接チェックインできるデバイスを管理するように設計されています。Microsoft 社が提供するこちらのドキュメントによれば、プロキシ ベースの加入は部分的にしかサポートされていません。

Windows ネイティブの MDM 加入はシステム コンテキストで実行されます。そのため、デバイス上で WinINET プロキシのネットワークが構成されている場合、Windows 10 デバイスの通常の加入は機能しません。WinINET はユーザー コンテキストにのみ適用されるため、システム アプリでは利用できません。

加入完了後、アプリのダウンロードには別の Windows コンポーネントが使用されます。アプリをダウンロードするコンポーネントもシステム コンテキストで実行されるため、このコンポーネントには WinHTTP プロキシ設定の構成が必要になります。

 

解決方法

AirWatch Unified Agent はユーザー コンテキストとシステム コンテキストの両方に対応しています。Agent バージョン 9.4.0 で加えられた機能強化で、WinINET プロキシ構成を利用することが可能になりました。これにより、Agent はプロキシ利用環境下でもデバイスを正常に加入することができます。

以下のレジストリ キーを設定することで、Agent をプロキシ対応にすることができます。

  • レジストリ上の場所 [HKEY_LOCAL_MACHINE\SOFTWARE\AIRWATCH\Feature] において、キー「DiscoverProxy」を作成し、その値を「True」に設定します。

Agent の将来のリリースでは、デフォルトでこの設定を有効にする予定です。この値が設定されていると、Agent はプロキシ構成を探し、見つかった場合はその構成を使用します。プロキシが構成されていない場合、この設定による影響はありません。

Microsoft BITS サービス経由でアプリをダウンロードする場合のプロキシは Agent から設定することができないため、アプリを正しくダウンロードするためには、引き続きお客様の管理者による WinHTTP プロキシの構成が必要です。この設定を行うには、BitsAdmin ツールの使用を推奨します。

注:BitsAdmin ツールは Microsoft 社により管理/公開されているツールです。将来、Microsoft 社により変更される可能性もあります。 

ご利用のプロキシ構成に応じて、管理者によるデバイス上での適切なコマンドの実行が必要です。それぞれのコマンドを以下に示します。 

特定のサーバ アドレス/ポートを指定して BitsAdmin を設定する場合:

bitsadmin /Util /SetIEProxy localsystem MANUAL_PROXY http://<ServerAddress>:PORT <BYPASSLIST>

PAC URL を参照するように BitsAdmin を設定する場合:

bitsadmin /Util /SetIEproxy localsystem AUTOSCRIPT http://<PacUrlHostServer>/proxy.js.

DHCP ネットワーク構成を使用するように BitsAdmin を設定する場合:

bitsadmin /Util /SetIEProxy localsystem AUTODETECT

VMware は Microsoft 社と協力し、Windows の将来のバージョンにおいてプロキシに自動的に対応するアプリ ダウンロードを実現すべく取り組んでいます。

 

お客様への影響

プロキシ利用環境でデバイス管理を行うためには、デバイスの加入を開始する前に、そのデバイスで WinINET を設定していただく必要があります。また、バージョン 9.4.0 以降の Agent を使用し、DiscoverProxy レジストリ設定の値が True になっていることも確認してください。

さらに、アプリのダウンロードが正常に機能するよう、管理者による上記のいずれかの方法での BitsAdmin ツール実行が必要になります。これらの手順を経ることで、デバイス上のすべてのコンポーネントがプロキシに対応するようになり、デバイスはプロキシ利用環境下でも管理できるようになります。

Microsoft 社が Windows の将来のバージョンにおいてプロキシに関する挙動に変更を加えた場合、上記の手順も変更が必要になる点に注意してください。

 

お問い合わせ

サポートが必要な場合は、My Workspace ONE からチケットを提出するか、お客様の地域のサポート ラインにご連絡ください。

 

敬具

VMware Workspace ONE チーム

Other Languages: English

免責事項:これは英文の記事「Proxy aware Windows 10 Desktop management」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Have more questions? Submit a request

0 Comments

Article is closed for comments.